UrlaubMitStalin schrieb:
Bei geheimen Chats wird ein Tunnel zwischen den beiden Usern erstellt, der Tg-Server kennt also nicht den Inhalt, daher ist es hier nicht möglich auf dem Server zu speichern oder Gruppenchats zu haben.
Das eine hat mit dem anderen nix zu tun. Natürlich kannst du bei E2EE Verschlüsselung auch Gruppenchats haben (beweisen ja diverse andere Chat-Apps) und auch eine Server-Speicherung ist grundsätzlich möglich. Selbst ein Web-Viewer wäre möglich, wenn die Entschlüsselung clientseitig im Browser geschieht, wie es z.B. bei ordentlichen PW Managern der Fall ist (also nicht wie bei LastPass die es schlecht gelöst haben).
Der einzige ernsthafte Angriffspunkt bei Tg, sind die Server. Denn die müssen um arbeiten zu können die Daten lokal speichern. Und diese sind natürlich entschlüsselt während der Server läuft. Wenn der Server aus ist, sollten die Daten nicht zugreifbar sein, aber die Details kennt halt nur Tg selbst, da der Server im Gegensatz zum Client nicht OpenSource ist.
Während du also bei WA die closed-source Verschlüsselung kritisierst und meinst, dass ist dann für dich per se unsicher, ist es bei Tg kein Problem, dass die Daten unverschlüsselt auf deren Servern sind, mit closed-soruce Software.
Wenn das bei WA ein Problem ist, ist es auch bei Tg eins. Oder es ist bei beiden keins.
Ein Angriff muss also auf einen aktiven Server erfolgen. Meines Wissens ist das noch niemandem gelungen. Da dies der Super-GAU wäre für Tg, sind die hier vermutlich entsprechend paranoid.
Bei genug Firmen tritt der Super-Gau ein, wie z.B. letztes Jahr bei LastPass.
Dazu ist ja nicht nur ein Angriff von außen ein Problem - Tg selber kommt halt an die Daten, das ist nicht cool, und damit gibt es auch einen Zugriffsweg für jeden, der sich da mit Tg irgendwie einig wird wie z.B. Behörden.
Oder auch nur irgendwer besticht einen Mitarbeiter mit entsprechenen Zugriffsrechten und der greift mal alle Chats aus einem Account ab oder so.
Das Protokoll kann man hier nachlesen:
https://core.telegram.org/mtproto
Allerdings ist das reichlich kompliziert und nichts für Laien.
Beim nochmaligen Lesen bin ich gar nicht mehr so sicher, ob die immer TLS benutzen oder nur optional:
Hier ist es auf jeden fall drin, in dne Transports:
https://core.telegram.org/mtproto/transports
Ist irgendwo auch die Implementierung open source oder muss man vertrauen, dass das am Ende auch so im Code landet?
Und welche Metadaten bei Secret Chats bei Telegram anfallen, finde ich da auch nicht so richtig. Gibt es sowas wie Sealed Sender? Was ist mit Lesebenachrichtigungen usw.?
